AMD 安全公告 AMD-SB-6016,2025 年 2 月
漏洞披露:
Supermicro 已獲悉並正在處理 AMD Instinct™ MI300X 加速器中衛星管理控制器 (SMC) 的安全性漏洞。這些漏洞可能導致阻斷服務及/或資料損毀。
CVE:
- CVE-2024-21927
- 嚴重程度:中等
- CVE-2024-21935
- 嚴重程度:中等
- CVE-2024-21936
- 嚴重性:高
研究結果:
- CVE-2024-21927:
- 衛星管理控制器(SMC)中的輸入驗證不當,可能使具備權限的攻擊者得以在篡改的Redfish® 指令中使用特定特殊字元,導致 OpenBMC 等服務程序崩潰並重置,進而可能引發服務拒絕攻擊。
- CVE-2024-21935:
- 衛星管理控制器(SMC)中的輸入驗證不當,可能使具備權限的攻擊者得以操縱Redfish® 指令,從本機根目錄刪除檔案,進而導致資料損毀。
- CVE-2024-21936:
- 衛星管理控制器(SMC)中的輸入驗證不當,可能允許具備權限的攻擊者發送多組竄改過的Redfish® 指令,導致 OpenBMC 等服務程序崩潰並重置,進而可能引發拒絕服務攻擊。
受影響產品:
| AMD 主機板 | 已修正的 BIOS 版本 |
|---|---|
| H13 MI300X (H13DSG-OM) | 不受影響 |
| AMD 伺服器 | GPU 韌體套件/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
修復:
- 所有受影響的 Supermicro 主機板 SKU 都將需要進行 GPU 韌體更新,以緩解此潛在漏洞。
- 已建立更新的 GPU 韌體以緩解此潛在漏洞。Supermicro 目前正在測試並驗證受影響的產品。請查閱發行說明以獲取解決方案。